ITmedia エンタープライズ

　Microsoftの古い.NET Passpoortアカウントに、パスワードをリセットし乗っ取られてしまう脆弱性があることが新たに発見された。これは、オンラインソフトウェア脆弱性に関するメーリングリストに投稿されたメッセージで明らかになったもの。

　.NET PassportはMicrosoftのオンラインID管理サービスで、顧客が電子メールアドレスとアカウントのパスワードの組み合わせでさまざまな関連サービスやWebサイトにサインオンでき、Microsoftの無料メールサービスであるHotmailなどが対応している。

　この脆弱性は、パスワードを忘れてしまったユーザーを助けるためのコードに含まれている。

　本人確認をして、その後に自分のアカウントのパスワードをリセットすることができる“Secret Question（秘密の質問）”機能が.NET Passportにはあるが、この機能が実装される以前に作られたアカウントの場合、攻撃者にパスワードを操作されてしまう可能性があると、セキュリティコンサルタントを名乗る、ビクター・マニュエル・アルバレス・カストロ氏は投稿している。

　Microsoftはこの件にまだコメントしていない。

　“Secret Question”機能が実装された後で作られたアカウントでは、パスワードを引き出す前に「秘密の質問」をユーザーが設定しておく必要があるため、すべての.NET Passportユーザーがこの脆弱性の影響を受けるわけではない。

　カストロ氏によれば、“Secret Question”機能が実装されたのはここ1、2年のことだという。

　この脆弱性を攻撃するには、ユーザーの電子メールアドレスと国名を知っておく必要がある。米国ベースのアカウントでは、アカウント所有者の州名とzipコードも必要だ。

　これらの条件が存在するため、この脆弱性を活用するのは比較的困難だと指摘するのはベネズエラの調査会社Scientech de Venezuelaの上級研究員ファラエル・ヌニェス氏。同氏はネット上では[RaFa]の名前で知られている人物。しかし、.NET Passportのアカウント数は2億と推定されており、Hotmailなどのサービスが提供されてきた期間を考慮すると、極めて大量のアカウントが“Secret Question”の脆弱性にさらされることになる、とヌニェス氏は指摘する。

　犠牲者のことをよく知る人物による攻撃の場合、特に効果的だと同氏は指摘する。

　いったん犠牲者の.NET Passportをコントロールしてしまえば、攻撃者はその人物のふりをして、犠牲者の電子メールアカウント、MSN Messengerなどのサービスを使い、その他の重要な情報も「ソーシャルエンジニアリング」攻撃により取得することもできる、とヌニェス氏。

　これは、発見された.NET Passportに関する脆弱性としては2番目。今年の5月、パキスタンのセキュリティ研究者であるムハンマド・ファイサル・ファウフ・ダンカ氏は、Passportの欠陥を公表した。パスワードを忘れたPassportユーザーが、自分のPasswordアカウントに関連付けられたアドレスにメールを送信すればパスワードを変更できるという仕組みに欠陥がある、というものだ。

　この欠陥は、攻撃者が犠牲者の最新パスワードを、希望したメールアカウントに送付させることができるというもので、犠牲者のメールアカウント以外の情報は必要としない。

　このとき、ダンカ氏からHotmailサポートへ繰り返し送られたメッセージに対する回答はなく、同氏はこの問題を公表した。

　脆弱性を報告する正しいプロセスについては、今回も混乱があったようで、情報が最初に届けられたのは、Microsoft本社ではなかった。ヌニェス氏がこの脆弱性に関する情報を得たのは6月27日、スペイン語のメーリングリストからだった。

　ヌニェス氏はカストロ氏に対し、この情報をMicrosoftレドモンド本社の適切なセキュリティグループに届けてほしいと頼んだが、カストロ氏はその情報をインターネット上で公開した、とヌニェス氏は話している。